OpenStack启动Kata容器项目以提高安全性

OpenStack基金会于12月5日宣布了一项名为Kata Containers的新工作，旨在帮助组织更安全地在云中部署和运行容器。Kata Containers项目将与OpenStack主云平台作为一个单独的项目运行，并具有自己的治理和项目指导。Kata Containers的核心是Intel提供的Clear Containers和Hyper提供的runV代码。支持该项目启动的其他公司包括99cloud，AWcloud，Canonical，中国移动，城市网络，CoreOS，Dell / EMC，EasyStack，Fiberhome，Google，华为，京东，Mirantis，SUSE，腾讯，Ucloud和中兴。

OpenStack基金会执行董事乔纳森·布莱斯(Jonathan Bryce)告诉eWEEK： “ Kata Containers项目非常关注基础架构级别的技术，该技术填补了试图在生产中安全运行容器的组织的空白。”

自2015年以来，英特尔一直在开发其开源Clear Containers技术，以帮助提供可在其上运行容器运行时的基础层管理程序。Clear Containers的早期支持者包括CoreOS，该公司将这项技术用作rkt容器运行时的一部分。Hyper一直在建立一个名为runV的补充工作，该工作旨在成为基于Open Hypervisor(OCI)的容器技术的基于管理程序的运行时。

有两种方法可以运行容器工作负载：根据Bryce的说法，要么在服务器操作系统上本地运行容器，要么在虚拟机管理程序内部运行容器以提供额外的隔离层。挑战在于，使用完整的虚拟机管理程序时，会存在额外的资源开销，这可能会影响性能。

他说：“ Kata Containers通过一个非常轻量级的虚拟化层创建了中间立场，该层运行在容器中，并使用户能够隔离和安全。” “它是如此小巧，轻便，因此能够具有非常快的启动时间，并且具有最小的额外开销。”

Hyper的首席运营官James Kulina告诉eWEEK，他的公司已经与英特尔就合作安全容器项目进行了一年多的对话。他指出，英特尔的Clear Containers和Hyper的runV是类似的工作。

Kulina说：“我们已经在合并支持Kata发射的基地的代码。”

Kulina解释说，Kata重新设计了虚拟化层，因此，Kata使用简化的内核来使容器启动和运行，而不是像传统的虚拟机管理程序那样安装完整的操作系统。用于Kata的实际虚拟机技术是开源KVM虚拟机管理程序。他说，该计划是要增加对Kata中其他管理程序的支持，包括开源Xen管理程序。Kata不支持VMware的hypervisor，后者具有自己的方法来运行称为vSphere Integrated Containers的容器。

Linux供应商Canonical也有一个名为LXD的容器管理程序自己的开源项目，该项目于2014年首次亮相。Bryce指出LXD在很多方面与Kata不同。

他说：“ Kata完全专注于容器工作负载;它是容器的执行环境，并不意味着要运行整个虚拟机。”

OpenStack的

对于OpenStack而言，支持容器技术并不是什么新鲜事物。OpenStack云平台已经有多个容器项目，包括用于Kubernetes编排的Magnum和用于启动和管理容器的Zun。据Bryce说，Kun设置为在Zun中受支持，用户可以直接从Zun创建Kata容器。他补充说，借助Magnum，云运营商可以创建一个Kubernetes环境，该环境在Kata容器内运行Kubernetes容器。

尽管Kata可以与其他OpenStack项目一起工作，但它是作为一个独立项目运行的，其自身的治理和技术领导者来自于捐助者。除了OpenStack，Kata还将具有有用性。

“ OpenStack用户将能够从Kata技术中受益，但是在OpenStack云之外还有许多其他用例，其中容器安全性非常重要，” Bryce说。